3 глава (1219041), страница 2
Текст из файла (страница 2)
Рисунок 3.3 – Зависимость PDR на CH, ближайшем к аномальному узлу, от максимального интервала между импульсами
Рисунок 3.4 показывает уровень обнаружения и ложных положительных срабатываний критерия PRR (1.10) и критериев IAT (1.11-1.13) при непрерывном генерировании сигнала в зависимости от положения устройства с аномальным поведением и состоянием среды. Очевидно, что чем больше узлов попало под влияние аномального устройства, тем легче его обнаружить. Хотя уровень обнаружения критериев IAT в разреженной сети, существенно не отличаются, пороговые значения, вычисленные в соответствии с экспоненциальным распределением, показали более высокую эффективность даже в плотной сети с высокой интенсивностью движения. Темпы обнаружения всех критериев IAT похожи, потому что все они анализируют потерянные пакеты. Интервал (1.14) является самым широким среди рассмотренных и, следовательно, он имеет более низкую частоту обнаружения и количество ложных срабатываний.
Рисунок 3.4 - Доли обнаружения аномального поведения и ложных тревог критериев при генерировании непрерывных помех (сценарий 1) в разреженной (а, b) и плотной (c, d) WSN в зависимости от расположения аномального устройства и интенсивности движения (размер пакета данных: 10 Б или 100 Б).
Сравнение значений IAT с их минимальным и максимальным значением, зафиксированным во время фазы инициализации, имеет наименьшую эффективность аномального поведения: то есть, имея достаточно высокий уровень обнаружения глушения и ложно позитивные срабатывания среди рассмотренных критериев. Правило EWMA имеет высокий уровень обнаружения во всех случаях в течение короткого периода времени. Тем не менее, если действие аномально работающего устройства будет более продолжительным, он перестает его обнаруживать из-за адаптации значений EWMA к условиям трафика.
Эффективность обнаружения и доли ложных тревог для тех же критериев были получены для сетей под импульсным влиянием помех; они показаны на рисунке 3.5.
Рисунок 3.5 - Эффективность выявления и доли ложных тревог критериев при импульсном глушении (сценарий 2) в разреженной (a, b) и плотной (c, d) WSN в зависимости от расположения аномального узла и интенсивности движения (размер пакета данных: 10 Б или 100 Б).
Рисунок 3.5 a, c показывает более низкие показатели обнаружения по сравнению с постоянным глушением, потому что эффект импульсной помехи слабый, особенно, когда размер законного пакета данных небольшой (10 Б).
Когда аномальное устройство активно на периферии площади WSN, его помехи можно перепутать с помехами от других узлов. Все критерии выявления аномального узла срабатывают лучше, когда оно расположено в центре области. Интересно, что применение нормального распределения к IAT в интервалах (1.13 - 14) обеспечивает большее количество ложных срабатываний, особенно в плотной сети, генерирующей интенсивное движение, как показано на рисунке 3.5 d. Экспоненциальное распределение лучше описывает поведение IAT в этом случае. Результаты моделирования показывают, что он является наиболее непригодным для БСС среды, где узлы теряют пакеты из-за столкновений или перегрузки. По тем же причинам, критерий EWMA показывает, процент ложных срабатываний выше, чем интервалы (1.13, 1.14). Хотя его способность обнаружения очень хорошая в начале аномального действия, она быстро ухудшается из-за высокой приспособляемости к изменяющимся условиям. Таким образом, в среднем, уровень обнаружения не намного выше, чем скорость обнаружения правила (1.14).
Если узлы передают пакеты со скоростью 100 Кбит/с, ложноположительные срабатывания всех критериев значительно не изменяются, тогда нет аномального действия устройства. И постоянные и импульсные помехи обнаруживаются более эффективно, в то время как ложноположительные срабатывания нормальных интервалов (1.13 - 14) значительно вырастают. Интервал (1.12) имеет лучшую скорость обнаружения обеих постоянных и импульсных помех, хотя его ложные положительные срабатывания увеличиваются в перегруженных сетях.
3.4 Обнаружение аномального поведения
Этот раздел посвящён оценке эффективности предложенной методики в выявлении аномального поведения и сравнению с ранее предложенными методами. Оценки эффективности были сделаны в симуляторе беспроводных сенсорных сетей Castalia [37], который предоставляет более адекватную модель радиоканала, основанную на экспериментальных данных, делает возможным несколько уровней передачи, модели помех, смещения и энергопотребление сенсорных узлов и т.д. Castalia может быть легко адаптирована и расширена. Есть много параметров для настройки модулей, которые имитируют различные слои архитектуры узла. Castalia был выбран, главным образом, из-за его реалистичной радио канальной модели и аддитивной модели помех. Castalia назначает вероятность получения для каждой ссылки на основе соотношения сигнал-помеха (SINR), размер пакета и типа модуляции.
3.4.1 Обнаружение глушения и коллизий
Предложенная методика обнаружения основана на мониторинге входящего трафика от непосредственных соседей. Сразу после развертывания, когда неизвестно, есть ли активное аномальное устройство, узлы сбора информации о поведении соседних устройств создают профили их нормального поведения. Кроме того, любые аномалии определены путем сравнения новых данных в этих профилях. Начальные значения параметров PRR, IAT фиксируются и вычисляются их соответствующие пороговые значения (1.10, 1,14). Вычисление пороговых значений на основе статистических методов не требует больших ресурсов памяти, больших вычислительных возможностей или длинный этап инициализации для сбора данных. Кроме того, пороговые значения могут быть легко обновлены в изменяющихся условиях. После инициализации, вновь полученные данные сравниваются с пороговыми значениями. Параметры при оценке качества обслуживания рассматриваются в сочетании с использованием модуля нечеткой логики, который предоставляет окончательный вывод на основе трех параметров для того, чтобы увеличить скорость обнаружения аномального поведения и уменьшить количество ложных тревог.
Принятие решения о наличии или отсутствии аномального поведения соседних узлов осуществлялось путем комбинирования результатов применения критериев с помощью простых правил нечеткой логики.
3.4.1.1 Результаты симуляции
Настройки симуляции аналогичны уже приведённым в предыдущем разделе. Предложенная схема обнаружения сравнивалась с обычно рекомендуемым методами обнаружения глушения: нормальные 3S – и 6S - интервалs для IAT (1.10, 1.11), минимальное и максимальное значение IAT, и правило, основанное на EWMA (методе средневзвешенных величин) с параметрами 
, 
, 
.
Рисунок 3.6 показывает среднюю скорость обнаружения и ложно положительных срабатываний критериев IAT и предлагаемую схему при непрерывном глушении в зависимости от положения аномального устройства и условий среды.
Очевидно, что чем больше узлов заглушено, тем легче обнаружить аномальное поведение. Обнаружение срабатываний критериев IAT в разреженной сети с малой интенсивностью движения, существенно не отличаются, но предложенная схема показывает лучшую производительность даже в плотной сети с высокой интенсивностью движения. Следует отметить, что уровень обнаружения может уменьшаться с ростом размера пакета, так как некоторые потери пакетов идентифицированы в соответствии с критериями такими, как случайные отказ сети. Доля ложных определений (тревог) предложенной схемы имеет самое низкое значение среди рассматриваемых правил.
Рисунок 3.6 - Эффективность обнаружения аномального поведения и доля ложных тревог критериев при непрерывном глушении в разреженной (а, b) и плотной (c, d) WSN в зависимости от расположения аномального устройства и интенсивности движения (размер пакета данных: 10 Б или 100 Б).
Эффективность обнаружения и доли ложных тревог для тех же критериев были получены для сетей под импульсным глушением. Рисунки 4.13 a, с показывают более низкие показатели обнаружения по сравнению с постоянным глушением, потому что эффект от импульсного глушения ниже, особенно когда размер пакета данных небольшой (10 Б). Когда аномальное устройство активно на периферии площади БСС, его помехи может перепутать с помехами от других узлов. Все критерии выявления аномального узла в центре области работают лучше. В плотной сети с высокой интенсивностью радиопередач (рисунок 3.7 c) эффективность обнаружения для всех правил не зависит от размера пакета. Критерий на основе EWMA показывает лучший уровень обнаружения, в то время как процент ложных тревог близок к 30%. Предложенная схема демонстрирует лучший компромисс между уровнем обнаружения и количеством ложных тревог среди рассматриваемых правил.
Рисунок 3.7 – Эффективность обнаружения аномального поведения и доли ложных тревог критериев при импульсном глушении в разреженной (а, b) и плотной (с, d) БСС в зависимости от расположения аномального узла и интенсивности движения (размер пакета данных: 10 Б или 100 Б).
Если узлы передают со скоростью передачи данных 100 Кбит/с, уровень ложно положительных срабатываний по всем критериям значительно не изменится, когда нет аномально работающего устройства. И постоянные и импульсные помехи обнаруживаются более эффективно, в то время как уровень ложно положительных срабатываний нормальных интервалов (1.13 – 1.14) значительно вырастают. Интервал (1.14) имеет лучший уровень обнаружения постоянных и импульсных помех, хотя его уровень ложно положительных срабатываний увеличивается на несколько процентов.
Таким образом, предлагаемый метод обнаружения помех для БСС имеет распределенный характер и может быть использован в больших сетях с иерархической или одноранговой архитектурой. Он не требует установки какого-либо дополнительного оборудования или дополнительных расходов на связь, а также происходит постоянный мониторинг соседей. Любой узел может обнаружить аномальное поведение и принять меры реагирования. Предлагаемый способ легок, эффективен и производит надежные результаты быстро, так как он использует простые статистические методы. Он основан на мониторинге входящего трафика и пороговых значений, которые применяются к значениям времени между поступлениями пакетов и скорости приема пакетов. К выбору распределения каждого параметра и выражения соответствующих пороговых значений указаны рекомендации. Этот выбор может быть сделан автоматически для каждого узла мониторинга в соответствии с собранными данными от каждого узла-источника. Низкие затраты на вычисления, низкие требования к памяти для хранения данных и короткое время задержки для вычисления пороговых значений позволяют автоматическую адаптацию в ходе времени работы сети.
Результаты обширных моделирований показывают высокую скорость обнаружения «умных» помех – импульсного генерирования глушащего сигнала. Обычно рекомендуемые критерии, на основе предположения о нормальном распределении скорости поступления и количества принятых пакетов в окне времени, показали низкую точность в случае «умных» атак. Между тем, предложенная схема, которая учитывает два параметра трафика в сочетании, отличает нормальный трафик от аномального с большей эффективностью даже в плотных сетях с высокой скоростью генерации трафика независимо от скорости передачи данных. Низкий процент ложных тревог предлагаемого метода позволяет более точно определить локализацию аномально работающего устройства и принять контрмеры заранее.
3.4.2 Обнаружение выборочной отправки пакетов и черной дыры
Когда узел не отправляет или предотвращает пересылку некоторой части трафика, передаваемого через него или в его окрестностях, то подобное поведение называется черной дырой (сценарий 3). Аномально работающее устройство сложно обнаружить, если оно отбрасывает пакеты выборочно: либо пакеты данных или пакеты управления, пакеты от конкретных устройств или области. Также, узел с аномальным поведением ухудшает производительность сети, поскольку сообщения нормально работающих устройств также могут быть потеряны из-за перегрузки или коллизий.
Выборочная отправка является наиболее эффективной, когда аномальное устройство входит в активный путь передачи данных. Однако, поскольку даже посторонний узел способен прослушивать пакеты, передаваемые в пределах диапазона радиосвязи, может выполнить выборочную отправку путем создания помех или вызывая коллизии в канале.
В случае приложений, предназначенных для определения критических событий (приложения реального времени), выборочная отправка представляет собой проблему, так как аномальное устройство может подавить пакеты, которые содержат данные о событиях, представляющих интерес (например, возникновение лесных пожаров, наводнений и т.п.).
Очевидно, что в случае активности аномального устройства базовая станция принимает меньше пакетов от узлов, находящихся под его воздействием. Она способна обнаружить аномальную ситуацию по мониторингу PRR и IAT. Узел контроля должен также проанализировать количество пакетов, полученных от конкретного узла-источника во временном интервале заданной длины. Правила на основе IAT позволяют рано обнаружить аномалию (за исключением случая черной дыры). Анализ PRR или PDR в пределах временного окна справляется с черной дырой или выборочной отправкой, имеет более низкую частоту ложных тревог, но она имеет более длительную задержку обнаружения (длина временного окна).
Значение PRR может быть проанализировано на стороне приемника. Приемник может уведомить узел-источник и/или базовую станцию, и исключить подозрительное устройство от соединения. С другой стороны, источник или промежуточные узлы могут контролировать время задержки для пересылки пакетов, принятых от их ближайших родительских узлов. Длинные задержки отправки могут соответствовать случайным условиям в сети, как перегрузки, так и аномальной активности. Если родительский узел не выполняет повторную передачу пакетов, его дочерние узлы отделяются от остальной части сети. В обоих случаях, дочерние узлы должны найти другой путь маршрутизации к базовой станции.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
